安全研究人員發(fā)現(xiàn)了亞馬遜的Alexa語音平臺中的一個漏洞。被利用時，Check Point Research表示，該漏洞可能使攻擊者能夠訪問用戶的個人信息。其中包括用戶的Amazon帳戶詳細信息以及語音記錄。

研究人員在使用Alexa智能手機應用程序進行測試時發(fā)現(xiàn)了該漏洞。他們使用腳本繞過了為保護應用程序流量而實現(xiàn)的機制，從而使他們能夠以明文形式查看它。他們發(fā)現(xiàn)，該應用程序發(fā)出的多個請求的策略配置錯誤，可能會被繞開以從惡意方控制的域發(fā)送請求。

在現(xiàn)實世界中，不良行為者本可以說服一個毫無戒心的用戶單擊指向?qū)嶋H上具有代碼注入功能的亞馬遜惡意鏈接。一旦單擊，攻擊者就可以掌握Alexa上用戶安裝的應用程序和技能的列表。他們還將能夠為受害者遠程安裝并啟用新技能。更為嚴重的攻擊者還可以從其Alexa帳戶中掌握用戶的語音記錄以及個人信息。

Check Point產(chǎn)品漏洞研究主管Oded Vanunu在新聞稿中說：

智能揚聲器和虛擬助手非常普遍，因此很容易忽略它們擁有多少個人數(shù)據(jù)，以及它們在控制家庭其他智能設備中的作用。但是黑客將它們視為人們生活的切入點，使他們有機會在所有者不知情的情況下訪問數(shù)據(jù)，竊聽對話或進行其他惡意行為。

Vanunu補充說，這家研究公司早在6月份就強調(diào)了亞馬遜的漏洞，并通過修復此漏洞做出了回應。“我們進行了這項研究，以強調(diào)保護這些設備對于維護用戶隱私至關重要。值得慶幸的是，亞馬遜迅速對我們的披露做出了回應，以關閉某些亞馬遜/ Alexa子域上的這些漏洞，”他說。